Collaborare insieme per una risposta migliore agli incidenti internazionali

Alla conferenza RSA 2021, un gruppo di esperti ha affrontato la necessità di collaborare in modo ottimale per combattere insieme il crimine informatico.

NotPetya ha paralizzato grandi aziende in tutto il mondo, Sony Pictures è stata hackerata come vendetta per l’uscita di un film e, di recente, anche Colonial Pipeline è stata colpita da un ransomware. Questi crimini non solo sono difficili da descrivere nelle notizie, ma sono anche complicati per le aziende, le forze dell’ordine e i politici di tutto il mondo. Internet non si preoccupa dei confini, e gli attacchi che hanno origine in un paese possono mietere vittime in molti altri , il che rende la giurisdizione davvero difficile da definire.

La soluzione sta soprattutto nella comunicazione e nella collaborazione. Ma c’è di più.

Alla Conferenza RSA 2021, Craig Jones (Director of Cybercrime dell’INTERPOL), Jon A. Fanzun (Inviato speciale per la politica estera e di sicurezza in ambito cyber del DFAE, Dipartimento Federale degli Affari Esteri della Svizzera) e Serge Droz (presidente del FIRST, Forum for Incident Response and Security Teams) sono intervenuti nel dibattito dal titolo The ticking ‘cyber-bomb’ and why there’s no global policy response to fix value-chain risks.(La “cyber-bomba” che sta per esplodere e sul perché non c’è una risposta politica globale per risolvere i rischi nella catena del valore). Anastasiya Kazakova, Senior Manager of Public Affairs di Kaspersky, ha moderato il dibattito. Il gruppo di esperti ha analizzato sfide particolari e ha riflettuto sui possibili ingredienti per offrire una risposta globale.

In generale tutti sono a favore di una maggiore collaborazione e condivisione della consapevolezza delle minacce e delle questioni legate alla sicurezza che superano i confini nazionali. Tuttavia, le rispettive giurisdizioni sono legate ai confini territoriali, che le forze dell’ordine devono rispettare. Purtroppo, però, i cybercriminali non fanno lo stesso.

“I criminali informatici amano la tattica del “divide et impera”: se siamo divisi, la criminalità può prosperare. Ecco perché è questa la nostra più grande sfida, molto più grande degli ostacoli tecnici: decidere come lavorare meglio tutti insieme”, spiega Droz.

Il punto di vista di Droz può sembrare pessimista, eppure la collaborazione che supera i confini territoriali negli ultimi anni è cresciuta. Enti privati, CERT, forze dell’ordine e governi hanno iniziato a lavorare insieme per aiutare le vittime. Per esempio, il progetto No More Ransom ha aiutato le vittime di ransomware a decifrare i file senza dover pagare i criminali. Di recente, Europol, Bundeskriminalamt (Germania), Politie (Paesi Bassi), Polisen (Svezia), Australian Centre to Counter Child Exploitation, Australian Federal Police e Queensland Police Service, FBI e ICE (USA), e la Royal Canadian Mounted Police hanno collaborato al blocco in diverse nazioni di numerose piattaforme sul dark web inerenti ad abusi sessuali su minori.

Questi esempi ci danno speranza, ma dobbiamo fare di più. In particolare, abbiamo bisogno che le organizzazioni si impegnino a collaborare e inizino a normalizzare il modo in cui si considera il crimine informatico. Abbiamo anche bisogno di costruire una maggiore fiducia per consentire una maggiore condivisione e scambio delle informazioni tra i gruppi di stakeholder, che vadano oltre i confini territoriali.

Noi di Kaspersky vediamo questa collaborazione come un processo articolati in tre fasi, con lo scopo di prevenire gli attacchi alle infrastrutture critiche o di rispondere ad essi:

  1. I Point Of Contact (POC) nazionali facilitano un maggiore coordinamento con le altre autorità competenti di ogni paese, organizzando regolari esercitazioni informatiche e sviluppando procedure, strumenti e modelli che superano i confini territoriali (ad esempio, per la valutazione degli incidenti, le richieste di assistenza o lo scambio responsabile di vulnerabilità);
  2. In caso di attacco, i POC stabiliscono una comunicazione tra l’organizzazione dell’infrastruttura critica attaccata e il produttore di software appropriato, o l’azienda di cybersecurity o i CERT del rispettivo paese;
  3. I POC scambiano rapidamente le informazioni sulla minaccia, le analizzano e confrontano i campioni forensi per rimediare all’incidente in modo efficiente.

Prevediamo che tale collaborazione cresca nel tempo e porti a un futuro più luminoso.

Consigli